路由汇总带来的三层环路

admin 2022年6月23日08:53:14安全闲碎评论3 views2700字阅读9分0秒阅读模式

请点击上面 路由汇总带来的三层环路 一键关注!

内容来源:网络技术平台公众

  问题概要

我们都知道,做路由汇总为了减少路由条目,但是不当的配置可能会引发三层环路,并且会引起设备CPU增加负荷。

  实验拓扑

路由汇总带来的三层环路

AR1模拟互联网,AR2是出口路由设备,LSW1作为三层交换机分别划分了5个vlan,并且是PC1-PC5的网关

实验先把网络建立正常互通,然后测试和触发环路,最后是如何来解决这个问题

  设备配置和网络连通性测试

LSW1:

  1. [LSW1]vlan batch 1020304050100

  2. [LSW1]int vlanif 10

  3. [LSW1-Vlanif10]ip add 10.1.1.124

  4. [LSW1-Vlanif10]int vlanif 20

  5. [LSW1-Vlanif20]ip add 10.1.2.124

  6. [LSW1-Vlanif20]int vlanif 30

  7. [LSW1-Vlanif30]ip add 10.1.3.124

  8. [LSW1-Vlanif30]int vlanif 40

  9. [LSW1-Vlanif40]ip add 10.1.4.124

  10. [LSW1-Vlanif40]int vlanif 50

  11. [LSW1-Vlanif50]ip add 10.1.5.124

  12. //因为ensp里S5700这个设备转换成三层接口后不能配ip,故这里用vlanif100代替

  13. [LSW1-Vlanif50]interfaceVlanif100

  14. [LSW1-Vlanif100]ip address 172.16.1.2255.255.255.252

  15. [LSW1-Vlanif100]interfaceGigabitEthernet0/0/1

  16. [LSW1-GigabitEthernet0/0/1]port hybrid pvid vlan 100

  17. [LSW1-GigabitEthernet0/0/1]port hybrid untagged vlan 100

  18. [LSW1-GigabitEthernet0/0/1]un sh

  19. #

  20. [LSW1-GigabitEthernet0/0/1]interfaceGigabitEthernet0/0/2

  21. [LSW1-GigabitEthernet0/0/2]port link-type access

  22. [LSW1-GigabitEthernet0/0/2]port default vlan 10

  23. #

  24. //剩余连接主机的接口配置方法类似,这里省略...

  25. #

  26. //配置默认路由出去

  27. [LSW1]ip route-static0.0.0.00.0.0.0172.16.1.1

AR2:

  1. [AR2]interfaceGigabitEthernet0/0/0

  2. [AR2-GigabitEthernet0/0/0]ip address 100.100.100.2255.255.255.252

  3. [AR2-GigabitEthernet0/0/0]un sh

  4. [AR2-GigabitEthernet0/0/0]interfaceGigabitEthernet0/0/1

  5. [AR2-GigabitEthernet0/0/1]ip address 172.16.1.1255.255.255.252

  6. [AR2-GigabitEthernet0/0/1]un sh

  7. [AR2-GigabitEthernet0/0/1]quit

  8. //这里将多个网段做汇总,并配置静态路由

  9. [AR2]ip route-static10.1.0.0255.255.248.0172.16.1.2

AR1:

  1. [AR1]interfaceGigabitEthernet0/0/0

  2. [AR1-GigabitEthernet0/0/0]ip address 100.100.100.1255.255.255.252

  3. [AR1-GigabitEthernet0/0/0]quit

  4. [AR1]ip route-static0.0.0.00.0.0.0100.100.100.2

PC1 – PC5 各自配好ip地址
用PC1 ping测 100.100.100.1,能通,代表正常,另外我们tracert跟踪一下,也正常

路由汇总带来的三层环路

  触发环路和分析问题

接下来我们使用PC1 去tracert跟踪一下存在的网段和不存在的网段。

发现跟踪PC2(2段)正常,那是因为LSW1是直连所有PC的,路由表里肯定存在去往PC2的直连路由条目,直连路由是优先级最高的,所以就顺利到达了。

跟踪6段和7段发现来回跳,说明已经起环了,LSW1的路由表里没有这两个网段的直连路由,只能匹配默认路由去往AR2了,AR2收到后查找路由表匹配到汇总了的路由条目10.1.0.0/21,于是向LSW1往回发了,LSW1收到后自然又是往回发送。

而跟踪8段却显示*,说明转发不到去目的地址了,包被丢弃了,那是因为数据包到达AR2时,发现没有路由条目是匹配的,10.1.0.0/21段最后一个ip地址是10.1.7.255,故到AR2将这个数据包丢弃了。

路由汇总带来的三层环路

  解决办法

如何解决?很简单,只需在LSW1添加一条同样是10.1.0.0/21的汇总黑洞路由,这样当收到目的ip为该段且ip不存在时,就不会再往外发送了。

  1. [LSW1]ip route-static10.1.0.021 NULL0

路由汇总带来的三层环路

再用PC1跟踪,正是预期的一样

路由汇总带来的三层环路


最后提醒一句,实验和案例可以起到理解和参考的作用,在实战中还是得靠灵活变通!!分享就到这里,如果你有其它行得通的方法,欢迎在评论区指教指教 
路由汇总带来的三层环路

「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!

知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。

如何加入:扫描下方二维码,扫码付费即可加入。

加入知识星球的同学,请加我微信,拉您进VIP交流群!

路由汇总带来的三层环路

朋友都在看

▶️3保1评 | 分保、等保、关保、密评联系与区别

▶️等保2.0丨2021 必须了解的40个问题

▶️等保2.0 三级 拓扑图+设备套餐+详解

▶️等保2.0 二级 拓扑图+设备套餐+详解

▶️等保2.0 测评  二级系统和三级系统多长时间测评一次?

▶️等保2.0系列安全计算环境之数据完整性、保密性测评

▶️等保医疗|全国二级、三乙、三甲医院信息系统安全防护设备汇总

▶️国务院:不符合网络安全要求的政务信息系统未来将不给经费

▶️等级保护、风险评估和安全测评三者的区别

▶️分保、等保、关保、密码应用对比详解

▶️汇总 | 2020年发布的最重要网络安全标准(下载)

▶️2022版 | 全国网络安全常用标准(下载)

欢迎扫描关注【天億网络安全】公众号,及时了解更多网络安全知识

原文始发于微信公众号(天億网络安全):路由汇总带来的三层环路

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月23日08:53:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  路由汇总带来的三层环路 https://cn-sec.com/archives/1135533.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: